AAA認證在油田社區網的應用研究

呂旭東 張雪霞 宋養齊

[摘 要]本文結合長慶油田認證（Authentication）、授權（Accounting）和計費（Authorization），即AAA認證升級改造項目，從用戶結構、認證需求、設計要求、技術選擇、系統設計、系統實現等方面展開分析，研究了AAA認證技術、系統架構搭建、無線局域網（Wireless Local Area Network，WLAN）無感知認證以及登錄源管理等關鍵技術在油田社區網的應用，為基礎網絡認證設計和管理提供相應參考。

[關鍵詞]AAA認證;長慶油田社區網;系統設計

doi：10.3969/j.issn.1673 - 0194.2020.24.097

[中圖分類號]F426.22[文獻標識碼]A[文章編號]1673-0194（2020）24-0-02

1? ? ?長慶油田社區網現狀調查

長慶油田社區網覆蓋陜西、甘肅、寧夏、內蒙古4個省區，用戶群體分為社區網用戶、油區有線用戶、油區無線用戶和臨時辦公用戶，登錄方式分為辦公區用戶Web方式登錄、社區用戶使用基于以太網的點對點通信協議（Point to Point Protocol over Ethernet，PPPOE）撥號方式等。由于近年來用戶數量增多，BOSS升級改造、原有認證（Authentication）、授權（Accounting）和計費（Authorization），即AAA技術并發處理能力不足，缺少區域控制功能和認證切換功能，用戶端Portal頁面使用體驗差、移動端在使用過程中出現重復認證等問題，需要重新設計認證系統和服務。

2? ? ?系統設計要求

根據AAA技術發展和用戶實際需求，新系統的開發需要具備以下幾個特征：①標準化和易擴展性，認證計費平臺結構應符合國際標準，設計標準化的技術和產品;②實用性，根據現有需求和可以預見的需求增長情況設計平臺能力，避免不必要的技術花費;③可靠性，根據業務關鍵性指標需求，構建可靠的網絡環境;④適應性，根據現網網絡接入場景，適應多業務發展需求，提供靈活多樣的管理策略;⑤安全性，搭建訪問控制機制的安全平臺，制定網絡隔離策略，確保數據庫的安全。

3? ? ?認證技術選擇

根據區域位置和用戶屬性，社區網有線用戶、油寬有線用戶和油寬無線用戶需采用不同的方式進行認證。

3.1? ?AAA認證

AAA認證即認證、授權和計費3種網絡用戶管理技術。目的在于采用可靠的用戶認證方式和用戶訪問控制手段，同時記錄網絡使用情況和用戶登錄日志，以提高管理能力。

3.2? ?RADIUS認證協議

RADIUS認證協議基于服務端和客戶端交互，是一種常用的AAA協議。通常使用User、Password、虛擬局域網（Virtual Local Area Network，VLAN）、Port等用戶身份信息，同時還具備AAA和Audit等應用功能，具有良好的標準性和兼容性，可以按照網絡結構和用戶屬性制定不同的認證計費規則。

3.3? ?PPPOE認證技術

PPPOE協議是在廣播中將各處匯聚不同主機，實現主機與管理器之間的訪問，包括發現階段和會話階段，主要通過以太網幀傳輸。

3.4? ?Portal認證

Portal認證是基于應用層的網頁驗證方式。典型的組網方式包括認證客戶端、接入設備、Portal服務器和AAA服務器。在以WLAN為主的網絡結構環境中，用戶無須使用軟件進行撥號。采用Portal認證可以忽略網絡結構、設備類型等。

4? ? ?系統設計

作為以用戶為直接服務對象的寬帶認證計費系統，需要滿足不斷變化的環境需求和服務，包括解決不同廠家設備的兼容性、多場景應用體驗、IPv6/v4雙棧環境、移動互聯網環境等要求。

4.1? ?系統架構設計

寬帶認證計費系統以Linux作為基礎平臺，具有通用、易部署、可靠穩定性高、開源等特點，能大大降低總體部署和維護成本。系統前后臺采用Tomcat+JDK+Oracle Database的架構組合，相比典型的Apache+PHP+MYSQL/MS SQL 2008組合，該架構更適用構建企業級應用。在數據庫構建上，可以使用Oracle Database封裝業務數據，如實時應用集群（Real Application Clusters，

RAC）、數據壓縮、備份、恢復等，通過簡單郵件傳輸協議（Simple Mail Transfer Protocol，SMTP）、傳輸控制協議（Transmission Control Protocol，TCP）等協議與其他模塊互聯。Oracle數據庫獨立運行，不依賴web server及radius server，即可以完成系統月結出賬過程，月結性能可以達到1萬戶/分鐘。系統采用安全外殼協議（Secure Shell，SSH）或服務器端嵌入（Server Side Include，

SSI）成熟的開源開發框架，便于實現團隊協作，能夠有效滿足客戶定制化需求。在該過程中，實現Radius Server、Tomcat、Database的解耦，Tomcat故障不會影響后臺業務的正常運行，后臺

Database故障不會影響前臺Radius Server正常認證。

4.2? ?系統部署

系統實現完全虛擬化部署，各組件模塊已針對虛擬化部署進行優化設計，如VMware平臺環境，支持完全虛擬化部署，以對數據中心進行集約化運維，降低互聯網技術（Internet Technology，IT）資本和運營成本，提高工作效率和舒適度。采用集群式負載均衡部署，搭建Oracle數據庫系統和操作系統，寬帶認證計費系統前臺和后臺軟件按照高可靠性備份冗余要求優化設計。

4.3? ?系統開發過程

①采用華為ME60作為接入設備，AAA認證使用兩臺服務器進行旁掛，實現用戶多方式場景計入和IPV4/IPV6雙棧支持。②設計開發用戶模塊、設備模塊、Eportal模塊、無感知模塊等。③使用兩個動態主機配置協議（Dynamic Host Configuration Protocol，DHCP）服務器構建Failover雙機服務，實現現網IPV4/V6的全面支持，同時按照現有BOSS系統接口規范，定制開發接口。④實現用戶數據、賬號開停機同步。⑤部署用戶在線接口程序與i-log等三方行為日志系統對接，實施傳遞在線用戶賬號、網際互聯協議（Internet Protocol，IP）、姓名等自定義擴展字段。

5? ? ?技術創新

5.1? ?無感知接入

無感知接入功能指在進行非首次連接后，認證系統配合接入服務器，為用戶的后期登錄提供自動完成認證服務。樓宇自動化系統或建筑設備自動化系統（Building Automation System，BAS）先嘗試媒體存取控制位址（Media Access Control Address，MAC）作為賬號進行RADIUS認證，認證失敗后再強推Portal認證頁面，最后在認證服務器端實現無感知認證配置與支持。包括DHCP系統在識別到用戶上線時，立即通知計費系統開啟計費并放行用戶;DHCP檢測到用戶IP釋放的信息后，會向計費系統發送停止計費的指令并終止網絡授權。

5.2? ?Failover雙機服務

DHCP服務保障支持DHCP Failover協議，由兩臺DHCP Failover節點構成一套Failover集群，兩個節點并行工作（Active/Active），單臺節點故障不影響DHCP服務的可用性。

5.3? ?區域控制

創建不同的套餐組，根據各區域BRAS上傳對應的參數PVLAN、CLAN、CLOT、SLOT等，通過區域接入控制，對賬號主體進行漫游區域控制。

5.4? ?守護進程

守護進程負責后臺數據庫與硬件的數據交互，一套數據庫只能同時運行一個守護進程，因此，必須確保運行守護進程的服務可控。系統配置了多個守護進程，配置了不同的IP和端口，實現了多重備份，保證系統正常運行。

6? ? ?系統實現

長慶油田社區網AAA系統的實施滿足了各項設計要求，由于系統復雜，本文主要展示以下幾個主要功能。①用戶管理，主要包括用戶查詢、業務受理、業務預約、批量業務等功能模塊。管理人員根據用戶的編號、賬號、姓名、狀態、證件號碼、IP地址編號等進行各種條件和組合條件下的賬號查詢、開戶、復通、變更、銷戶等功能。②設備管理類，包括設備接入、主控子控配置、路由配置、直通配置、Radius服務器配置等功能模塊。管理員可以增加、刪除主服務器和子服務器，設置RADIUS服務器的參數并添加IP登錄源。③Portal認證，用戶在手機端連接長慶油田寬帶網絡后，會自動彈出認證界面，填寫賬號和密碼進行登錄驗證。在實際應用中，由于采用了無感知功能，已認證的用戶無須在WLAN環境改變時再次登錄，大大提高了用戶的上網體驗。

7? ? ?結 語

AAA認證系統的建設及應用滿足了油田社區網不同用戶、不同環境的上網需求，降低了運維人員管理難度，極大提高了長慶油田社區網絡管理水平。另外，建設過程中的經驗積累和運行期間的技術總結有利于提高工作人員的技能水平、推動后期項目建設。

主要參考文獻

[1]王道佳，馬嚴，黃小紅.基于DHCP的校園網準入及無感知方案研究[J].華中科技大學學報：自然科學版，2016（1）：181-185.

[2]王軍號，陸奎.RADIUS協議在AAA系統中的應用研究[J].計算機技術與發展，2009（7）：199-202.

[3]周江，李賀武.一種面向Portal認證的IPv6可信地址分配機制[J].電信科學，2019（12）：8-14.

[4]尹海成，許勤侃，梅儀國，等.下一代互聯網AAA認證系統演進過程研究[J].電信網技術，2014（6）：19-21.